基於Linux系統的病毒
1、病毒名稱:
Linux.Slapper.Worm
類別: 蠕蟲
病毒資料: 感染系統:Linux
不受影響系統:Windows 3.x, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Macintosh
病毒傳播:
埠:80, 443, 2002
感染目標:各版本Linux系統上的Apache Web伺服器
技術特徵:
該蠕蟲會試圖不斷連線80埠,並向伺服器傳送無效的“GET”請求,以識別Apache系統。一旦發現Apache系統,它會連線443埠,並向遠端系統上的監聽SSL服務傳送惡意程式碼。
此蠕蟲利用了Linux Shell程式碼僅能在英特爾系統上執行的漏洞。該程式碼需要有shell命令/bin/sh才能正確執行。蠕蟲利用了UU編碼的方法,首先將病毒原始碼編碼成".bugtraq.c"(這樣就使得只有"ls -a"命令才能顯示此程式碼檔案),然後傳送到遠端系統上,再對此檔案進行解碼。之後,它會利用gcc來編譯此檔案,並執行編譯過的二進位制檔案".bugtraq".這些檔案將存放在/tmp目錄下。
蠕蟲執行時利用IP地址作為其引數。這些IP地址是黑客攻擊所使用的機器的地址,蠕蟲用它來建立一個利用被感染機器發動拒絕服務攻擊的網路。每個被感染的系統會對UDP埠2002進行監聽,以接收黑客指令。
此蠕蟲利用字尾為如下數字的固定IP地址對Apache系統進行攻擊:
3, 4, 6, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 28, 29, 30, 32, 33, 34, 35, 38, 40, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 61, 62, 63, 64, 65, 66, 67, 68, 80, 81, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239
2、病毒名稱:
Trojan.Linux.Typot.a
類別: 木馬病毒
病毒資料: 破壞方法:
該病毒是在Linux作業系統下的木馬,木馬執行後每隔幾秒就傳送一個TCP包,其目的IP和源IP地址是隨機的,這個包中存在固定的特徵,包括 TCP window size等<在這裡為55808>,同時,病毒會嗅探網路,如果發現TCP包的window size等於55808,就會在當前目錄下生成一個檔案<檔名為:r>,每隔24小時,病毒檢測是否存在檔案 “r”,如果存在,就會試圖連線固定的IP地址<可能為木馬的客戶端>,如果連線成功,病毒就會刪除檔案:/tmp/……/a並退出
3、病毒名稱:
Trojan.Linux.Typot.b 類別: 木馬病毒
病毒資料: 破壞方法:
該病毒是在Linux作業系統下的木馬,木馬執行後每隔幾秒就傳送一個TCP包,其目的IP和源IP地址是隨機的,這個包中存在固定的特徵,包括 TCP window size等<在這裡為55808>,同時,病毒會嗅探網路,如果發現TCP包的window size等於55808,就會在當前目錄下生成一個檔案<檔名為:r>,每隔24小時,病毒檢測是否存在檔案 “r”,如果存在,就會試圖連線固定的IP地址<可能為木馬的客戶端>,如果連線成功,病毒就會刪除檔案:/tmp/……/a並退出
4、病毒名稱:
W32/Linux.Bi 類別: WL病毒
病毒資料: W32/Linux.Bi 是個跨平臺病毒,長度 1287 位元組,感染 Linux, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 作業系統,它根據作業系統型別感染當前目錄的可執行檔案。當收到、開啟此病毒後,有以下現象:
A 感染當前目錄下的長度在4K和4M之間的可執行檔案,(不感染windows下的dll檔案)
5、病毒名稱:
Linux.Plupii.C 類別: Linux病毒
病毒資料: Linux.Plupii.C 是一個Linux病毒,該病毒長度 40,7576 位元組,感染 Linux, Novell Netware, UNIX 系統,它通過系統漏洞傳播,該病毒感染的現象為:
A 在 UDP 埠 27015 打開後門,允許黑客遠端控制計算機
B 生成 IP 地址,新增以下內容生成 URL 地址
/cvs/
/articles/mambo/
/cvs/mambo/
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/drupal/xmlrpc.php
/phpgroupware/xmlrpc.php
/wordpress/xmlrpc.php
/xmlrpc/xmlrpc.php
C 向上述地址傳送http請求,嘗試通過以下漏洞傳播
PHP 的 XML-RPC 遠端注入攻擊 (見漏洞列表 ID 14088
http://www.securityfocus.com/bid/14088 )
AWStats日誌外掛引數輸入確定漏洞 (見漏洞列表 ID 10950
http://www.securityfocus.com/bid/10950 )
Darryl 外圍遠端執行命令漏洞 (見漏洞列表 ID 13930
http://www.securityfocus.com/bid/13930 )
D 當發現存在漏洞的計算機,病毒利用漏洞從 198.170.105.69 下載
E 下載以下病毒到/tmp/.temp目錄,感染計算機
cb (病毒 Linux.Plupii.B)
https (Perl指令碼後門病毒)
ping.txt (Perl指令碼外殼後門病毒。)
httpd
F 試圖連線預定地址的 TCP 埠 8080 ,開啟一個外殼後門
G 開啟 IRC 後門,連線以下 IRC 伺服器
eu.undernet.org
us.undernet.org
195.204.1.130
194.109.20.90
病毒查詢加入含有lametrapchan 字串的頻道,等待黑客命令
6、病毒名稱:
Linux.Mare 類別: Linux病毒
病毒資料: 該病毒長度可變,感染 Linux 系統,它通過 PHP 的 phpbb_root_path 漏洞傳播,並打開後門供黑客下載
A 打開後門連線以下伺服器
81.223.104.152
24.224.174.18
B 接受並執行遠端的黑客下達如下命令
更新病毒
執行命令
停止病毒
C 從上述伺服器下載執行遠端檔案 listen
D 下載執行遠端更新檔案 update.listen
E 記錄資訊到檔案 listen.log
F 掃描通過 PHP 的 phpbb_root_path 漏洞
G 對掃描到的計算機執行以下命令 http://209.136.48.69/[已刪除]/cvac
7、病毒名稱:
Linux.Plupii 類別: Linux病毒
病毒資料: 該病毒長度 34,724 位元組,感染 Linux 系統,此病毒利用WEB伺服器漏洞傳播,並且打開後門供黑客操作,到當收到、開啟此病毒時,有以下危害:
A 通過UPD埠7222傳送一個通知資訊給遠端黑客
B 打開後門供黑客操作
C 生成包含以下內容的URL
/cgi-bin/
/scgi-bin/
/awstats/
/cgi-bin/awstats/
/scgi-bin/awstats/
/cgi/awstats/
/scgi/awstats/
/scripts/
/cgi-bin/stats/
/scgi-bin/stats/
/stats/
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/drupal/xmlrpc.php
/community/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/wordpress/xmlrpc.php
/phpgroupware/xmlrpc.php
/cgi-bin/includer.cgi
/scgi-bin/includer.cgi
/includer.cgi
/cgi-bin/include/includer.cgi
/scgi-bin/include/includer.cgi
/cgi-bin/inc/includer.cgi
/scgi-bin/inc/includer.cgi
/cgi-local/includer.cgi
/scgi-local/includer.cgi
/cgi/includer.cgi
/scgi/includer.cgi
/hints.pl
/cgi/hints.pl
/scgi/hints.pl
/cgi-bin/hints.pl
/scgi-bin/hints.pl
/hints/hints.pl
/cgi-bin/hints/hints.pl
/scgi-bin/hints/hints.pl
/webhints/hints.pl
/cgi-bin/webhints/hints.pl
/scgi-bin/webhints/hints.pl
/hints.cgi
/cgi/hints.cgi
/scgi/hints.cgi
/cgi-bin/hints.cgi
/scgi-bin/hints.cgi
/hints/hints.cgi
/cgi-bin/hints/hints.cgi
/scgi-bin/hints/hints.cgi
/webhints/hints.cgi
/cgi-bin/webhints/hints.cgi
/scgi-bin/webhints/hints.cgi
D 使用上述生成的URL連線傳送http請求,嘗試使用下列WEB漏洞傳播
PHP遠端溢位漏洞XML-RPC(ID 14088)
AWStats Rawlog 外掛日誌檔案輸入漏洞(ID 10950)
Darryl Burgdorf Webhints遠端執行漏洞(ID 13930)
F 嘗試從 http://62.101.193.244/[已刪除]/lupii 下載執行病毒
G 儲存下載的病毒到 /tmp/lupii
8、病毒名稱:
Linux.Jac.8759 類別: Linux病毒
病毒資料: 感染長度:8759位元組
病毒簡介:Linux.Jac.8759是一個專門感染Linux系統下的檔案的病毒,能夠感染與其同相目錄下的所有後綴為ELF的可執行檔案。
技術特徵:當Linux.Jac.8759被執行後,它會檢測所有其相同目錄下的檔案,若找到有可寫許可權的可執行檔案,即會感染之。不過,此病毒不會感染以字母ps結尾的檔案,也不會感染X86(因特爾)平臺下的檔案。
病毒會修改被感染檔案頭的幾個地方。其中一個修改是用來作為感染標記,這就使得病毒不會多次感同一個檔案。
9、病毒名稱:
Linux.Mighty.worm 類別: Unix/Linux蠕蟲
病毒資料: 技術特徵:
這是一個Linux蠕蟲,類似前段時間出現的Slapper,都是藉助執行Apache伺服器軟體的Linux
機器進行傳播。一旦找到可感染的機器,此蠕蟲便會利用OpenSSL伺服器(443埠)的緩衝溢位漏洞來執行遠端的shell指令。有關此漏洞的詳細資訊,可瀏覽http://www.kb.cert.org/vuls/id/102795.
該蠕蟲是由四個檔案組成:
a.script.sh:初始的shell指令碼,用來下載,編譯及執行其他元件;
b.devnul:32位x86 ELF可執行檔案,大約19050位元組,它是蠕蟲用來掃描網際網路
c.sslx.c:利用OpenSSL漏洞的原始碼檔案,由script.sh進行編譯,供devnul使用;
d.k:32位x86 ELF可執行檔案,大約37237位元組,它是kaiten後門程式及Ddos工具的Linux埠。
當初始shell程式(script.sh)執行時,它會下載蠕蟲的三個元件,並將漏洞程式碼檔案(sslx.c) 編譯成二進位制檔案sslx,然後執行Kaiten後門程式(K)並執行devnul檔案。而devnul會掃描網際網路上存在漏洞的機器,一旦找到未打補丁的機器,它會執行sslx程式中的緩衝溢位漏洞程式碼。
蠕蟲一旦進入到一個新系統並在此係統上成功執行的話,它會下載並執行shell指令碼(script.sh),這樣蠕蟲的自我繁殖過程就告完成。
10、病毒名稱:
Linux.Simile 類別: Win32病毒
病毒資料: 感染長度:變化不定
危害級別:低
受影響系統:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me, Linux
不受影響系統:Windows, Microsoft IIS, Macintosh, Unix
技術特徵:
這是一個非常複雜的病毒,利用了模糊入口端點、變形及多型加密技術,也是第一個能在Windows及Linux平臺下感染的多型變形病毒。它不含破壞性的有效載荷,但感染檔案後,會在特定日期彈出對話方塊,讓人感覺厭煩。該病毒是Simile家族的第四個變種,它引入了一種在Intel Linux平臺下的新的感染機制,可感染32位ELF檔案(標準的Unix二進位制格式)。此病毒能夠感染Linux及Win32系統下的PE及ELF檔案。
病毒第一次執行後,會檢查當前系統日期,若病毒依附的主檔案是PE檔案,且在3月或9月17日這天,會彈出一個資訊框:
若主檔案是ELF格式,則在3月17或5月14這天,病毒會輸出一段類似如下的文字資訊到控制面板:
該病毒已被證實能感染Red Hat Linux6.2, 7.0及7.2版本下的檔案,在別的版本下也極有可能感染。被感染檔案平均增加110K位元組,但增長的位元組數隨著病毒的變形引擎縮小或擴充套件及插入方式的不同而不同。
11、病毒名稱:
Linux.Slapper.B 類別: Unix/Linux蠕蟲
病毒資料: 危害級別:中
傳播速度:中
技術特徵:
這是一種感染Linux系統的網路蠕蟲,與原版Linux.Slapper.A相似,但有一些新增功能。它會搜尋執行Apache伺服器的系統,一旦找到能感染的機器,它就會利用Openssl伺服器的緩衝溢位漏洞來執行遠端shell命令。有關此漏洞的詳細資訊,請瀏覽:http://www.kb.cert.org/vuls/id/102795
該變種傳播的時候,會攜帶自己的原始碼,然後在每臺受害機器上進行編譯,使得其變成可執行檔案。病毒原始碼檔名叫“。cinik.c”,會被複制到 “/tmp” 目錄下,而其編譯過的檔案叫“。cinik”,存放在同一目錄下,且作為原始碼的UUEncoded版本。此變種還含有一個shell指令碼/tmp/.cinik.go,用來搜尋被感染系統上的檔案,然後用蠕蟲的二制碼覆蓋所搜尋到的檔案。該指令碼還會將本地機器及網路的資訊通過郵件傳送給一個字尾為yahoo.com的郵件地址。
假如病毒原始檔/tmp/cinik.c被使用者刪除了,它會從某個站點下載原始檔的副本,檔名也叫cinik.c.
另外,被感染系統還會在UDP 1978埠上執行一後門伺服器端程式。與所有後門程式類似,該伺服器端會響應遠端未授權使用者傳送的特殊指令,從而根據指令執行各種不同的操作,例如,其中一條指令是在受感染機器上搜索郵件地址。
它會掃描所有目錄(三個特珠目錄/proc, /dev及/bin除外)下的所有檔案,以查詢有效的郵件地址。而其中含有字串“。hlp”及與“[email protected]”相同的地址會被忽略,之外的其他所有郵件地址會作為一清單傳送給遠端使用者起初所指定的IP地址。
另外,遠端未授權使用者還可能傳送其他一些指令,如:
a.DOS攻擊(TCP或UDP);
b.開啟或關閉TCP代理(1080埠);
c.執行任意程式;
d.獲得其他被感染伺服器的名稱;
此變種在掃描可能存在漏洞的機器時,會檢查符合如下形式的IP地址:
A. B. 0-255.0-255
其中B是0到255之間的任意數字;
A為從下列列表中隨機選擇的數字:
3 4 6 8 9 11 12 13 14
15 16 17 18 19 20 21 22 24
25 26 28 29 30 32 33 34 35
38 40 43 44 45 46 47 48 49
50 51 52 53 54 55 56 57 61
62 63 64 65 66 67 68 80 81
128 129 130 131 132 133 134 135 136
137 138 139 140 141 142 143 144 145
146 147 148 149 150 151 152 153 154
155 156 157 170 171 172 173 174 175
176 177 178 179 180 181 182 183 184
185 186 187 188 189 190 191 192 193
194 195 196 198 200 201 202 203 204
205 206 207 208 209 210 211 212 213
214 215 216 217 218 219 220 224 225
226 227 228 229 230 231 232 233 234
235 236 237 238 239
12、病毒名稱:
Linux.Slapper.C 類別: Unix/Linux蠕蟲
病毒資料: 技術特徵:
這是一種感染Linux系統的網路蠕蟲,與原版Linux.Slapper.A相似,但有一些新增功能。它會搜尋執行Apache伺服器的系統,一旦找到能感染的機器,它就會利用Openssl伺服器的緩衝溢位漏洞來執行遠端shell命令。有關此漏洞的詳細資訊,請瀏覽:http://www.kb.cert.org/vuls/id/102795
該變種傳播的時候,會攜帶自己的原始碼,然後在每臺受害機器上編譯兩個可執行程式“。unlock.c”及"update.c",它們都建立在 “/tmp” 目錄下。第一個成功編譯後的可執行程式叫“httpd” ,位於相同目錄下。第二個可執行檔案"update" 會監聽1052埠,當輸入正確Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密碼後,它會允許大量的互動式shell命令通過。另外,該變種還會將受感染機器的主機名及IP地址傳送給指定的郵件地址。
像Slapper.A及Slapper.b一樣,被Slapper.c感染過的系統會在UDP 4156埠執行一個後門伺服器端程式,該伺服器端會響應遠端未授權使用者傳送的特殊指令,從而根據指令執行各種不同的操作,例如,共中一條指令是在受感染機器上搜索郵件地址。
它會掃描所有目錄(三個特殊目錄/proc, /dev及/bin除外)下的所有檔案,以查詢有效的郵件地址。而其中含有字串“。hlp”及與“[email protected]”相同的地址會被忽略,之外的其他所有郵件地址會作為一清單傳送給遠端使用者起初所指定的IP地址。
另外,遠端未授權使用者還可能傳送其他一些指令,如:
a.DOS攻擊(TCP或UDP);
b.開啟或關閉TCP代理(1080埠);
c.執行任意程式;
d.獲得其他被感染伺服器的名稱;
此變種在掃描可能存在漏洞的機器時,會檢查符合如下形式的IP地址:
A. B. 0-255.0-255
其中B是0到255之間的任意數字;
A為從下列列表中隨機選擇的數字:
3 4 6 8 9 11 12 13 14
15 16 17 18 19 20 21 22 24
25 26 28 29 30 32 33 34 35
38 40 43 44 45 46 47 48 49
50 51 52 53 54 55 56 57 61
62 63 64 65 66 67 68 80 81
128 129 130 131 132 133 134 135 136
137 138 139 140 141 142 143 144 145
146 147 148 149 150 151 152 153 154
155 156 157 170 171 172 173 174 175
176 177 178 179 180 181 182 183 184
185 186 187 188 189 190 191 192 193
194 195 196 198 200 201 202 203 204
205 206 207 208 209 210 211 212 213
214 215 216 217 218 219 220 224 225
226 227 228 229 230 231 232 233 234
235 236 237 238 239